일반 USB를 보안 USB로? … DLP 보안 주의보

입력: 2016-04-28 18:07 이규화 기자

폰트

기자 구독

공개 암호화SW 이용 해킹에 취약
공공기관 도입시 의무규격 지켜야

최근 공공기관들이 DLP(Data Loss Prevention) 시스템을 도입하면서 일반 USB를 소프트웨어 방법으로 '보안 USB'로 둔갑시켜 도입하는 사례가 늘고 있는 것으로 드러났다.

관련 업계는 일반 USB의 위험성을 경고하고 나섰다. 일부 보안 USB 비 전문 보안업체들이 일반 USB 메모리를 TrueCrypto 같은 공개된 암호화 소프트웨어를 이용해 보안 USB 메모리로 만들어준다고 공공기관들을 현혹하고 있다는 것이다.

세계적으로 공개된 소프트웨어인 'TrueCrypto 암호화툴'은 해커와 보안전문가들에게 취약점이 노출돼 해킹되는 것이 이미 밝혀졌다. 이에 따라 지난해 자진해 사이트를 폐쇄한 것으로 알려졌다. 소프트웨어적 암·복호화 방식은 기존 전통적인 해킹방법에 노출된다. 특히 데이터 암복호화 시 암호키가 메모리 상에 그대로 노출되기 때문에 암복호화의 가장 중요한 요소인 기밀성의 보장이 어렵다. 또한 암복호화를 관리하는 소프트웨어 자체의 취약점 발생 시 사용하고 있는 운영체제에 직접적인 공격이 가능하다. 가령, 미국 정보부 기밀문서를 유출한 스노든이 사용해 잘 알려진 TrueCrypto의 경우 자체 프로그램 취약점으로 인해 윈도 상에서 권한 상승이 가능한 취약점 'CVE-2015-7358', 'CVE-2015-7359'가 발견되기도 했다.

이러한 문제점으로 인해 많은 보안 USB 기업들은 보안제품에 하드웨어적 인증 및 암복호화 방식을 추가해 판매하는 것이 일반적인 추세다. 이런 심각한 취약점 문제를 알면서도 일부 DLP 보안회사들은 안전하다며 공공기관들과 기업들을 현혹하고 있다는 것이다.

한 보안 업체 보안 USB 전문가는 "PC용 DLP 솔루션은 개인정보와 같은 중요정보가 불법적으로 인터넷, 저장매체, 프린터와 같은 온·오프라인을 통해 외부로 전송, 저장 혹은 인쇄되는 것을 방지하는 제품이다. PC에서 저장매체는 차단 통제하지만 예외적으로 승인된 사용자들은 일반 USB를 사용하게 돼 보안 취약점이 된다"며, "공공기관 필수 도입제품이 아닌 CC 제품 규격인 DLP 제품은 취약점이 발견돼도 조치에 느슨한 편이라서 매체제어에서 USB 메모리를 마운트해 우회적으로 사용하는 취약점을 아직도 해결하지 못하는 경우도 있다"고 말했다.

물론, 공공기관 필수 도입 제품인 보안 USB 매체제어 제품은 국정원에서 취약점 관리를 받기 때문에 2012년부터 취약점이 해결돼 안전하게 보안을 지켜주고 있다. 그럼에도 DLP 회사들은 하드웨어방식의 보안 USB 메모리 기술을 채택하지 않고 손쉽게 인터넷에 공개된 TrueCrypto와 같은 암호화 소프트웨어방식을 사용해 일반 USB를 보안 USB로 개조, 제공한다고 공공기관을 현혹한다.
이 전문가는 "TrueCrypto 소프트웨어방식의 취약점이 발견돼 자진해 공개 사이트까지 폐쇄했는데, TrueCrypto 암호화 보안기술보다도 더 낮은 수준의 편법으로 만든 DLP 업체들의 소프트웨어 보안 USB화 소프트웨어가 과연 공공기관을 안전하게 지켜줄 것인지는 의문"이라며, "국정원은 2012년 이미 일반 USB를 보안 USB로 사용할 수 있게 하는 암호화 SW 방식 제품에 대해 경고한 적 있다. 국정원은 암호화 해킹 크랙 툴 및 일반보안영역 취약점 우회 방법으로 소프트웨어적 보안방식이 쉽게 보안 해제된다고 지적했다"고 설명했다.

공공기관은 내부정보유출방지를 위해 공공기관 사용자들이 불편하더라도 국가보안 강화를 위해 2000년대 말부터 '매체제어와 보안 USB'를 의무적으로 도입하도록 의무화돼 있다. 이는 세계 최초로 무분별한 USB 메모리 등 비 인가된 저장매체의 통제와 안전한 물리적 보안 USB를 사용토록 함으로써 미국 유럽 보다 높은 수준의 공공기관 보안성 향상에 기여해왔다.

최근 인사처 USB 부팅으로 PC 해킹한 사건도 1차적으로는 국정원의 가이드처럼 PC 부팅 CMOS 암호를 설정하고 2차적으로 보안 USB 시스템으로 중요 문서를 암호화해 PC와 보안 USB에 별도 보관했다면 막을 수 있는 보안사고였다. 국정원 보안 지침과 가이드는 국가 공공기관 보안담당자들이 지켜야 할 기본적인 준수 사항이다. 제2의 인사처 보안사고를 예방하려면 공공기관 보안담당자들이 국가 보안 취지와 원칙을 준수하는 것이 최우선이다.
이규화 선임기자 david@dt.co.kr

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

일반 USB를 보안 USB로? … DLP 보안 주의보

이 시간 핫클릭

핫 이슈!